Presidência da República Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Centro de Tratamento de Incidentes de Segurança de Rede de Computadores da APF ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 3 TRIMESTRE/2012 1. Apresentação As informações estatísticas publicadas neste documento referem-se ao terceiro trimestre do ano de 2012 (01/07 a 30/09) e destinam-se a apresentar os resultados do trabalho de detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de Incidentes de Rede de Computadores da Administração Pública Federal - CTIR Gov. A atividade de tratamento de incidentes de rede executada pelo CTIR Gov é desenvolvida dentro da filosofia de melhoria contínua, fato que impõe adaptações periódicas na metodologia e nos processos adotados pelo Centro. Esses ajustes alteram, ainda, a maneira de organizar os dados estatísticos referentes às notificações dos incidentes de rede dos órgãos e entidades da Administração Pública Federal - APF, direta e indireta, além dos Estados e Municípios. Nesse contexto e com o intuito de aperfeiçoar a tomada de decisão, a disponibilização das informações e o planejamento das ações de Coordenação, foi implementado em julho de 2012 o projeto de Business Intelligence - BI, que consiste na criação de um modelo multidimensional e na utilização de uma ferramenta para apoio à decisão, que permite a elaboração de gráficos e painéis de controle, visando atender as demandas de negócio deste Centro. Página 1/8
2. Gráficos 2.1. Distribuição de notificações de incidentes por Status e mês de criação Gráfico 1 - Distribuição de notificações por Status e mês de criação Para padronização o CTIR Gov distribui as notificações de incidentes em (a) Notificado: evento reportado ao Centro por meio do endereço ctir@ctir.gov.br; (b) Resolvido: incidente finalizado, ou seja, tratamento realizado com sucesso; (c) Pendente: incidente que aguarda ação de terceiro para resolução e (d) Rejeitado: detecção de falso positivo ou notificação não classificada como incidente. O agrupamento das notificações por mês de criação e status exibido no Gráfico 1 permite a observação de alguns aspectos relevantes: Aumento da proporção de incidentes notificados: As ações de melhoria de processo contínuo e novos mecanismos automatizados de detecção e notificação desenvolvidos pelo CTIR Gov possibilitaram a inclusão de novos serviços como: sensores HoneyNet (julho), Hospedagem de Artefatos - Remote File Injection RFI (agosto) e Indisponibilidade de Sítios (setembro). Redução no número de notificações rejeitadas: Os mecanismos automatizados de detecção e notificação foram revistos e aperfeiçoados no trimestre e as novas versões foram colocadas em produção a partir de sua aprovação nos respectivos meses. Essas ações objetivaram reduzir o número de falso-positivos notificados e na diminuição significativa na quantidade média de notificações rejeitadas. Redução no número de incidentes pendentes: Resultado do aperfeiçoamento dos módulos dedicados ao controle dos tíquetes Pendentes e consequente ação positiva de Página 2/8
terceiros na resolução dos incidentes. Aumento no número de incidentes resolvidos: Fruto das ações descritas nos itens acima houve um aumento de 15% no número de incidentes resolvidos em relação à quantidade de incidentes apresentados em estatísticas anteriores. Essa informação demonstra a efetividade das iniciativas de melhoria empreendidas pelo CTIR Gov no período. 2.2. Distribuição de incidentes por categoria Gráfico 2 - Distribuição de incidentes por categoria O Gráfico 2 apresenta o percentual de notificações nas principais categorias de incidentes estabelecidas pelo Centro. Em comparação com a última estatística disponibilizada pelo CTIR Gov, percebe-se o aumento de três novas categorias, decorrente da necessidade de fornecer maior grau de especialização na análise dos dados sobre incidentes de que dispõe o Centro. Percebe-se que os percentuais das categorias Abuso de Sítio e Geral diminuíram em relação ao total, sobretudo pelo acréscimo de categorias. Em consequência dos novos mecanismos de detecção e novos tipos de notificações recebidas de nossos parceiros, percebe-se o aumento significativo nas filas: Hospedagem de Artefatos, Scaneamento de Vulnerabilidades, Sensores HoneyNet, Botnets e Indisponibilidade de Sítio. Página 3/8
2.3. Distribuição de subtipos de Abuso de Sítios Gráfico 3 - Distribuição de subtipos de Abuso de Sítios No gráfico 3 é importante destacar que, na categoria Abuso de Sítios o subtipo Spamdexing (injeção deliberada e maliciosa de spam de links e de conteúdos comerciais não legítimos) cresceu significativamente, dos anteriores 11,34% da última estatística, para os atuais 30,6%. 2.4. Distribuição de notificações de Abuso de Sítio por Estado Gráfico 4 - Distribuição de notificações de Abuso de Sítios por Estado Conforme o gráfico 4, verificamos uma grande quantidade de incidentes de Abuso de Sítio nos Página 4/8
estados de MG e SP, decorrente do grande número de municípios e de domínios registrados, o que não significa necessariamente maior vulnerabilidade em relação aos outros estados. 2.5. Domínios de hospedagem de Malware Gráfico 5 - Domínios mais utilizados para hospedagem de Malware Observando o gráfico 5, depreende-se que o domínio dl.dropbox.com responde pela maior parcela de incidentes relacionados à hospedagem de artefatos maliciosos analisados pelo CTIR Gov. Medições realizadas de forma preliminar em diferentes momentos, indicam o aumento significativo de incidentes no domínio docs.google.com. É importante salientar que a quantidade de incidentes envolvendo os três principais domínios apresentados (dl.dropbox.com, docs.google.com e bit.ly), correspondem a maioria dos incidentes contidos na amostragem de que dispõe o CTIR Gov. Baseado nesta tendência, o CTIR Gov sugere aos órgãos da APF, que não possuem nenhum tipo de atividade institucional nos domínios listados, que adotem as medidas julgadas cabíveis, alinhadas com a Política de Segurança da Informação e Comunicações da instituição, no sentido de avaliarem a necessidade do acesso e, caso julgado conveniente, bloquear as conexões aos citados serviços. Página 5/8
2.6. Países destinatários das notificações Gráfico 6 Países destinatários mais notificados para os incidentes das filas: Abuso de SMTP, Hospedagem de Malware, Redirecionamento de Malware e Hospedagem de Artefatos. O CTIR Gov notifica os responsáveis por Domínio/IP e os CSIRT s nacionais dos países envolvidos em: Abuso de SMTP, Hospedagem de Malware, Redirecionamento de Malware e Hospedagem de Artefatos. Conforme apresentado no gráfico 6, Estados Unidos e Brasil continuam sendo os países maiores destinatários das notificações de incidentes, ressaltando-se a grande diferença de notificações entre esses países e os demais notificados. 2.7. Tempo de resolução Gráfico 7 - Distribuição por faixa de tempo de resolução Abuso de Sítio Página 6/8
Gráfico 8 - Distribuição por faixa de tempo de resolução Hospedagem de Malware O tempo médio transcorrido entre as notificações do CTIR Gov e a resolução dos incidentes pelos responsáveis é de 8 dias e 19 horas, para casos envolvendo abusos de sítios, e de 6 dias e 2 horas para incidentes relacionados à hospedagem de executáveis maliciosos. O tempo médio de resolução de incidentes não se alterou em relação à última estatística, apresentando desprezível diferença. No entanto, vale ressaltar que apesar do tempo médio de resolução ser prejudicado pelos incidentes que estão na faixa de mais de 10 dias, 25,5% dos incidentes de abuso de sítio e 36,6% dos incidentes relacionados a hospedagem de executáveis maliciosos são resolvidos em até 24 horas. 3. Conclusões A otimização dos mecanismos de detecção e dos procedimentos de tratamento de incidentes possibilitaram ao CTIR Gov aprimorar seu conjunto de serviços, mantendo o nível de qualidade dos resultados oferecidos. Com a inclusão do mecanismo de detecção de indisponibilidade de sítio, o CTIR Gov começa a atuar proativamente em possíveis ataques que geram esse incidente, possibilitando monitorar a indisponibilidade de sítios da APF. A aplicação da ferramenta de Business Inteligence, utilizada na consolidação dos dados apresentados, possibilitará o aperfeiçoamento das estatísticas elaboradas pelo CTIR Gov, agregando elementos de tendências e inteligência de negócio. As informações apresentadas no presente documento são fruto da colaboração de diversos órgãos da APF com o CTIR Gov. A troca de informações entre as equipes de tratamento de incidentes de rede (ETIR) com este Centro é de fundamental importância para a manutenção e adoção de Página 7/8
mecanismos para a melhoria da segurança da informação nas esferas federal, estadual e municipal. Por força da natureza sensível dos dados referentes aos incidentes de rede notificados ao CTIR Gov, apenas informações com a classificação ostensiva foram apresentadas neste documento. Conclusões de maior profundidade técnica e com maior detalhamento poderão ser apresentadas em eventos com a participação exclusiva das ETIR da APF, Estados e Municípios. Eventuais dúvidas ou sugestões sobre os dados e considerações apresentadas, podem ser encaminhadas à Coordenação-Geral de Tratamento de Incidentes de Rede - CGTIR, por meio do endereço eletrônico: cgtir@planalto.gov.br. Brasília, 08 de outubro de 2012. Equipe CTIR Gov www.ctir.gov.br Página 8/8